• RSSフィード
  • Twitterフォロー
  • iGoogleに追加

【 ここから本文 】

セキュリティ

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

【連載】
プロアクティブ・セキュリティ──見えない敵に先手を打つ

第14回 ユーザー認証

(2005年11月21日)

前のページへ < 123456 > 次のページへ

認証方式の種類

 次に、代表的なユーザー認証方式について簡単に説明しよう。認証方式を選択するにあたっては、個人を特定する情報の取得方法とその個人を特定する情報の伝達方法の安全性を考慮しなければならないが、この2つは混同しやすいので注意していただきたい。

パスワード認証
 パスワード認証は最も古く、かつ簡単な認証方式であり、認証の基本とも言えることから、ベーシック認証とも呼ばれる。具体的には、個人を特定するためのIDと、そのID情報を信頼するための秘密情報であるパスワードを、本人しか知りえない情報の組(セット)として保持しておき、その正当性を検証することで本人確認を行う。

デバイス認証
 デバイス認証では、何らかのデバイスに固有の認証情報を書き込んでおき、そのデバイスを保持していれば本人だと確認する。デバイスとしては、主にICカードやUSBメモリなどが用いられる。なお、認証情報の固有性は、デバイスに依存する場合と個人に依存する場合の2パターンある。前者ではデバイス自体のユニークな情報を利用し、後者ではデバイスに個人を特定できる情報を保存して、それを用いる。

ワンタイム・パスワード
 ワンタイム・パスワードは、IDとパスワードで認証する点ではパスワード認証と変わらないが、パスワードを1回限りの使い捨てとすることで、セキュリティ・レベルを向上させている。

 ワンタイム・パスワードは、一般に、ユーザーに何らかの専用デバイス(ハードウェア・トークン)を持たせ、あらかじめ指定されたIDとトークンで生成した使い捨てのパスワードを入力して、認証サーバで検証するといった仕組みをとっている(図2)。トークンの機能はソフトウェアで代替することも可能で、その場合は、専用デバイス(ハードウェア)によるトークンに対して、ソフトウェア・トークンと呼ばれる。

 なお、ワンタイム・パスワードの種類には、一定時間ごとにパスワードが変更される時刻同期型と、使用回数に応じてパスワードを変更するカウンター同期型の2パターンがある。


図2:ワンタイム・パスワードの仕組み

生体(バイオメトリクス)認証
 生体(バイオメトリクス)認証では、指紋や虹彩のように人間が備える生体的特徴に基づいて本人確認を行う。バイオメトリクス認証で用いられる主な生体情報は、表2のとおりである。

 バイオメトリクス認証の最大の特徴は、認証を受けたい本人の身体さえあれば本人特定が行えるため、パスワードなどとは違って「忘れることがない」という点である。ただし、ネットワーク上で使用する以上、生体情報をデジタル・データに変換しなければならず、それを偽造すればなりすましは可能になる。さらに、生体的特徴はパスワードのように変更することが不可能なため、一度盗まれてしまうと代わりが利かない。したがって、生体情報のデジタル・データの取り扱いには十分注意する必要がある。

 また、バイオメトリクス認証には、他人を本人と間違えて認証してしまう「他人受け入れ率」と、本人であるにもかかわらず認証されない「本人拒否率」にまつわる誤認の問題がある。他人受け入れ率は、当然ながら、本人確認の信頼性に直結するため低くなければならない。一方、本人拒否率は、セキュリティ上はあまり支障を来さないが、実用上は「本人なのに拒否される」ことによる心理的な抵抗が非常に大きいため、やはり低い値が求められることになる。

 さらに、バイオメトリクス認証では、対象の生体情報を使用できない人が、わずかではあるが存在すことを考慮しなければならない。例えば、指紋認証は人口の1%程度が多汗、乾燥、先天的・後天的に指紋がないといった理由から適用できないと言われている。また、身体の欠損から生体情報を得られない場合もある。こうしたことから、生体認証を採用する場合は、複数のバイオメトリクス認証の採用や他の認証方式の併用など、何らかの代替手段をあらかじめ用意しておく必要がある。


表2:バイオメトリクス認証の主な方式

2要素認証
 パスワードとデバイス、デバイスと指紋といったように、2つの本人確認方法を組み合わせることで、認証の精度を高める方式を2要素認証と総称する。デバイス認証は、パスワードと組み合わせて使用することが多いため、通常、2要素認証の一種と考えてよいだろう。

ゼロ知識証明
 ゼロ知識証明とは、保持している情報の内容を明かさずに正しい情報を持っていることを証明する認証方式で、公開鍵暗号方式以降に創出された比較的新しい概念である。具体的には、検証者が投げかけた問い(検証者が持っている情報と乱数から生成したもの)に証明者が答えるというやり取りを複数回行うことで、証明者の正当性が証明される。なお、この認証方式においては、証明者と検証者の間で交換する情報を盗聴しても、なりすますことは不可能であることが論理的に証明されている。現在のところは、研究が先行しており、製品への実装は遅れているが、実用化が待たれる技術である。

前のページへ < 123456 > 次のページへ

プロアクティブ・セキュリティ──見えない敵に先手を打つ
第1回 脆弱性検査[前編]
第2回 脆弱性検査[後編]
第3回 侵入検知・ハニーポット[前編]
第4回 侵入検知・ハニーポット[後編]
第5回 ファイアウォール[前編]
第6回 ファイアウォール[後編]
第7回 VPN(1)IPsec-VPNとSSL-VPNの違いを知る
第8回 VPN(2) VPN構築のポイントを知る
第9回 VPN(3) VPN運用のポイントを知る
第10回 フォレンジック[前編]
第11回 フォレンジック[後編]
第12回 暗号技術[前編]
第13回 暗号技術[後編]
第14回 ユーザー認証

関連記事

▲ページの先頭へ戻る

Insight

SSCPの知識分野、認定試験、認定要件

セキュリティ専門家向けのCISSP資格と同じ点、異なる点

Insight 記事一覧

key Person

「日本企業はUTMというコンセプトに縛られすぎている」――米国パロアルトCEO

「次世代ファイアウォール」の旗手が語るクラウド時代のネットワーク・セキュリティ

key Person記事一覧

Weekly Ranking

集計期間:03/13〜03/19

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国